HCIE考试中“安全特性”学习笔记（一）

[Huawei]dhcp snooping enable   开启DHCP-snooping功能

[Huawei-Vlanif1]vlan 1

[Huawei-vlan1]dhcp snooping enable--------在vlan1开启dhcp-snooping

[Huawei-vlan1]inter g0/0/3

[Huawei-GigabitEthernet0/0/3]dhcp snooping trusted----将G0/0/3设置为信任端口（默认为untrust端口

DHCP有两个功能：

① 信任功能

② 监听功能

（1）信任功能：

管理员在部署网络时，一般将与合法DHCP服务器直接或间接连接的接口设置为信任接口，其他接口设置为非信任接口，从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址，私自架设的伪DHCP服务器无法为DHCP客户端分配IP地址。

（2）监听功能：

开启DHCP Snooping之后，可以防范以下攻击：

① 防止仿冒DHCP Server攻击

② 防止非DHCP用户攻击

③ 防止DHCP报文泛洪攻击

④ 防止仿冒DHCP报文攻击

⑤ 防止DHCP Server拒绝服务攻击

（1）防止仿冒DHCP Server攻击：

由于DHCP Server和DHCP Client之间没有认证机制，所以如果在网络上随意添加一台DHCP服务器，它就可以为客户端分配IP地址以及其他网络参数。如果该DHCP服务器为用户分配错误的IP地址和其他网络参数，将会对网络造成非常大的危害。

针对这种攻击，在配置DHCP Snooping功能之后，管理员手工将连接DHCP Server的接口设置为Trust端口，实现IP的正常下发。而后续接入的攻击者仿冒的DHCP Server默认接口类型为Untrust，从Untrust接收到的DHCP Server应答报文，交换机不会将其转发，而直接丢弃。防止仿冒DHCP Server攻击。

注：Untrust端口只拦截DHCP Server的应答报文（Offer、ACK、NAK），不会阻拦Client的请求报文（Discovery、Request）

Untrust接口只能拦截虚假DHCP Server的报文，但不能够定位DHCP Server仿冒者的位置，

使得网络中仍然存在着安全隐患。

通过配置DHCP Server探测功能，DHCP Snooping设备将会检查并在日志中记录所有DHCP

回应报文中携带的DHCP Server地址与接口等信息，此后网络管理员可根据日志来判定网络

中是否存在伪DHCP Server进而对网络进行维护。

[Huawei]dhcp server detect------使能DHCP Server探测

（2）防止非DHCP用户攻击：

非DHCP用户可以静态配置IP地址，如果此地址和当前网络中的DHCP Server或Client地址冲突，则会刷新当前交换机的表项，存在危险性，所以可以在可能存在非法用户接入的接口下执行命令关闭该接口动态学习MAC表项的能力，并使设备可以根据DHCP Snooping绑定表、ND Snooping绑定表将从该接口动态学习到的Dynamic类型MAC表项转换成Snooping类型MAC表项（也是一种静态MAC表项）或者根据静态绑定表直接生成Snooping类型MAC表项。之后，该接口收到的IP报文，只有在报文源MAC地址与静态MAC表项（包括Static类型、Snooping类型等）相匹配的情况下才能够通过该接口，否则报文会被丢弃，这样可以有效防止非法MAC地址用户的攻击。

[Huawei]port-group  group-member  g0/0/1 to g0/0/24

[Huawei-port-group]user-bind ip sticky-mac

[Huawei-port-group]mac-address learning  disable----关闭所有接口动态学习MAC表项功能

注：如果存在静态IP的合法用户，使用静态DHCP SNooping命令或静态MAC表项配置配置静态绑定表项：

[Huawei]user-bind static  ip-address 192.168.1.10 interface  g0/0/2 vlan 1

[Huawei]mac-address static 1111-1111-1111 g0/0/1 vlan  1

（3）防止DHCP报文泛洪攻击：

在DHCP网络环境中，若存在DHCP用户短时间内向设备发送大量的DHCP报文，将会对设备的性能造成巨大的冲击以致可能会导致设备无法正常工作。通过使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能将能够有效防止DHCP报文泛洪攻击。

[Huawei-vlan1]dhcp snooping  check dhcp-rate enable---------使能对DHCP报文上送DHCP报文

处理单元的速率进行检测功能

[Huawei-vlan1]dhcp snooping  check dhcp-rate 100--------配置速率大小（PPS）

注：速率上限限制可以在全局、VLAN下、接口下分别配置

[Huawei]dhcp snooping alarm dhcp-rate enable—开启告警信息（只能配置在全局和接口下）

（4）防止仿冒DHCP报文攻击：

在DHCP网络环境中：

① 若攻击者仿冒合法用户的DHCP Request报文发往DHCP Server，将会导致用户的IP地址租约到期之后不能够及时释放，以致合法用户无法使用该IP地址

② 若攻击者仿冒合法用户的DHCP Release报文发往DHCP Server，将会导致用户异常下线。

在生成DHCP Snooping绑定表后，设备可根据绑定表项，对DHCP Request报文或DHCP Release报文进行匹配检查，只有匹配成功的报文设备才将其转发，否则将丢弃。这将能有效的防止非法用户通过发送伪造DHCP Request或DHCP Release报文冒充合法用户续租或释放IP地址。

注：默认只匹配单播Request报文（续租）和Release报文，不会匹配广播Request报文，因为广播的Request报文用于第一次IP地址分配的请求信息，此时交换机还没有生成此分配IP地址的DHCP Snooping表项，如果广播Request也进行匹配的话不会找到此DHCP Snooping表项，则认为此为DHCP攻击报文，所以在开启防止仿冒DHCP报文攻击功能后，值检测单播Request报文和Release报文

[Huawei]dhcp snooping check dhcp-request enable  vlan 1---对当前Vlan1的所有报文进行DHCP Snooping表项的匹配

注：可以在全局下、VLAN下、接口下分别配置

[Huawei-GigabitEthernet0/0/1]dhcp snooping alarm dhcp-request enable---开启告警信息（只能在接口下配置）

（5）信任防止DHCP Server拒绝服务攻击：

若在网络中存在DHCP用户恶意申请IP地址，将会导致IP地址池中的IP地址快速耗尽以致DHCP Server无法为其他合法用户分配IP地址。另一方面，DHCP Server通常仅根据CHADDR（client hardware address）字段来确认客户端的MAC地址。如果攻击者通过不断改变DHCP Request报文中的CHADDR字段向DHCP Server申请IP地址，将会导致DHCP Server上的地址池被耗尽，从而无法为其他正常用户提供IP地址。

为了防止某些端口的DHCP用户恶意申请IP地址，可配置接口允许学习的DHCP Snooping绑定表项的最大个数来控制上线用户的个数，当用户数达到该值时，则任何用户将无法通过此接口成功申请到IP地址。为了防止攻击者不断改变DHCP Request报文中的CHADDR字段进行攻击，可使能检测DHCP Request报文帧头MAC地址与DHCP数据区中CHADDR字段是否相同的功能，相同则转发报文，否则丢弃。

① 针对攻击者发送大量的虚假DHCP Discovery报文请求IP地址，在交换机上开启检查CHADDR字段和源MAC是否相同，不相同则为拒绝服务攻击报文，直接丢弃

[Huawei]dhcp snooping  check dhcp-chaddr enable  vlan  1

注：可配置在全局、接口、VLAN下

② 如果攻击者发送的虚假DHCP Discovery报文源MAC和CHADDR相同，则无法检测出是否为攻击报文，可以在接入层交换机配置最大申请的IP地址数量（可为1）

[Huawei]dhcp snooping  max-user-number  1

注：可配置在全局、接口、VLAN下

（1）联动APR：

DHCP Snooping设备在收到DHCP用户发出的DHCP Release报文时将会删除该用户对应的绑定表项，但若用户发生了异常下线而无法发出DHCP Release报文时，DHCP Snooping设备将不能够及时的删除该DHCP用户对应的绑定表。

使能ARP与DHCP Snooping的联动功能，如果DHCP Snooping表项中的IP地址对应的ARP表项达到老化时间，则DHCP Snooping设备会对该IP地址进行ARP探测，如果在规定的探测次数内探测不到用户，设备将删除用户对应的ARP表项。之后，设备将会再次按规定的探测次数对该IP地址进行ARP探测，如果最后仍不能够探测到用户，则设备将会删除该用户对应的绑定表项。

注：只有设备作为DHCP Relay时，才支持ARP与DHCP Snooping的联动功能

[Huawei]arp dhcp-snooping-detect enable

（2）联动IPSG：

P源防攻击IPSG（IP Source Guard）是一种基于二层接口的源IP地址过滤技术，它能够防止恶意主机伪造合法主机的IP地址来仿冒合法主机，还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。所以可以联动IPSG（IP Source Grade）生成MAC转发表项，对当前网络中的报文进行检测，不符合DHCP Snooping表项的数据包会被丢弃。

[Huawei]vlan 1

[Huawei-vlan1]ip source check user-bind enable------------使能IP报文检查功能

注：如果存在静态IP的合法用户，使用静态DHCP SNooping命令配置静态绑定表项：

[Huawei]user-bind static  ip-address 192.168.1.10 interface  g0/0/2 vlan 1

ARP（Address Resolution Protocol）安全是针对ARP攻击的一种安全特性，它通过一系列对ARP表项学习和ARP报文处理的限制、检查等措施来保证网络设备的安全性。ARP安全特性不仅能够防范针对ARP协议的攻击，还可以防范网段扫描攻击等基于ARP协议的攻击。

ARP协议有简单、易用的优点，但是也因为其没有任何安全机制，容易被攻击者利用。在网络中，常见的ARP攻击方式主要包括：

（1）ARP泛洪攻击：

也叫拒绝服务攻击DoS（Denial of Service），主要存在这样两种场景：

① 设备处理ARP报文和维护ARP表项都需要消耗系统资源，同时为了满足ARP表项查询效率的要求，一般设备都会对ARP表项规模有规格限制。攻击者就利用这一点，通过伪造大量源IP地址变化的ARP报文，使得设备ARP表资源被无效的ARP条目耗尽，合法用户的ARP报文不能继续生成ARP条目，导致正常通信中断。

② 攻击者利用工具扫描本网段主机或者进行跨网段扫描时，会向设备发送大量目标IP地址不能解析的IP报文，导致设备触发大量ARP Miss消息，生成并下发大量临时ARP表项，并广播大量ARP请求报文以对目标IP地址进行解析，从而造成CPU（Central Processing Unit）负荷过重。

（2）ARP欺骗攻击：

是指攻击者通过发送伪造的ARP报文，恶意修改设备或网络内其他用户主机的ARP表项，

造成用户或网络的报文通信异常。

ARP攻击行为存在以下危害：

① 会造成网络连接不稳定，引发用户通信中断，导致严重的经济损失。

② 利用ARP欺骗截取用户报文，进而非法获取游戏、网银、文件服务等系统的账号和口令，造成被攻击者重大利益损失。

（1）针对ARP泛洪攻击解决方案：

ARP报文限速：

如果设备对收到的大量ARP报文全部进行处理，可能导致CPU负荷过重而无法处理其他业务。因此，在处理之前，设备需要对ARP报文进行限速，以保护CPU资源。

设备提供了如下几类针对ARP报文的限速功能：

a)根据源MAC地址或源IP地址进行ARP报文限速

b)针对全局、VLAN和接口的ARP报文限速

① 根据源MAC地址或源IP地址进行ARP报文限速：

当设备检测到某一个用户在短时间内发送大量的ARP报文，可以针对该用户配置基于源MAC地址或源IP地址的ARP报文限速。在1秒时间内，如果该用户的ARP报文数目超过设定阈值（ARP报文限速值），则丢弃超出阈值部分的ARP报文。

② 根据源MAC地址进行ARP报文限速：

如果指定MAC地址，则针对指定源MAC地址的ARP报文根据限速值进行限速；如果不指定MAC地址，则针对每一个源MAC地址的ARP报文根据限速值进行限速。

③ 根据源IP地址进行ARP报文限速：

如果指定IP地址，则针对指定源IP地址的ARP报文根据限速值进行限速；如果不指定IP地址，则针对每一个源IP地址的ARP报文根据限速值进行限速。

④ 针对全局、VLAN和接口的ARP报文限速：

设备支持在全局、VLAN和接口下配置ARP报文的限速值和限速时间，当同时在全局、VLAN和接口下配置ARP报文的限速值和限速时间时，设备会先按照接口进行限速，再按照VLAN进行限速，最后按照全局进行限速。

另外，在接口下还可以指定阻塞ARP报文的时间段。如果设备的某个接口在ARP报文限速时间内接收到的ARP报文数目超过了设定阈值（ARP报文限速值），则丢弃超出阈值部分的ARP报文，并在接下来的一段时间内（即阻塞ARP报文时间段）持续丢弃该接口下收到的所有ARP报文。

❶ 针对全局的ARP报文限速：在设备出现ARP攻击时，限制全局处理的ARP报文数量。

❷ 针对VLAN的ARP报文限速：在某个VLAN内的所有接口出现ARP攻击时，限制处理收到的该VLAN内的ARP报文数量，配置本功能可以保证不影响其他VLAN内所有接口的ARP学习。

❸ 针对接口的ARP报文限速：在某个接口出现ARP攻击时，限制处理该接口收到的ARP报文数量，配置本功能可以保证不影响其他接口的ARP学习。

ARP Miss消息限速：

如果网络中有用户向设备发送大量目标IP地址不能解析的IP报文（即路由表中存在该IP报文的目的IP对应的路由表项，但设备上没有该路由表项中下一跳对应的ARP表项），将导致设备触发大量的ARP Miss消息。这种触发ARP Miss消息的IP报文（即ARP Miss报文）会被上送到CPU进行处理，设备会根据ARP Miss消息生成和下发大量临时ARP表项并向目的网络发送大量ARP请求报文，这样就增加了设备CPU的负担，同时严重消耗目的网络的带宽资源。

为了避免这种IP报文攻击所带来的危害，设备提供了如下几类针对ARP Miss消息的限速功能：

① 根据源IP地址进行ARP Miss消息限速

② 针对全局、VLAN和接口的ARP Miss消息限速

③ 通过设定临时ARP表项的老化时间控制ARP Miss消息的触发频率

④ 根据源IP地址进行ARP Miss消息限速：

当设备检测到某一源IP地址的IP报文在1秒内触发的ARP Miss消息数量超过了ARP Miss消息限速值，就认为此源IP地址存在攻击。

此时如果设备对ARP Miss报文的处理方式是block方式，设备会丢弃超出限速值部分的ARP Miss消息，即丢弃触发这些ARP Miss消息的ARP Miss报文，并下发一条ACL来丢弃该源IP地址的后续所有ARP Miss报文；如果是none-block方式，设备只会通过软件限速的方式丢弃超出限速值部分的ARP Miss消息，即丢弃触发这些ARP Miss消息的ARP Miss报文。

如果指定了IP地址，则针对指定源IP址的ARP Miss消息根据限速值进行限速；如果不指定IP地址，则针对每一个IP地址的ARP Miss消息根据限速值进行限速。

❶ 针对全局、VLAN和接口的ARP Miss消息限速

设备支持在全局、VLAN和接口下配置ARP Miss消息限速，有效顺序为接口优先，VLAN其次，最后为全局。

❷ 针对全局的ARP Miss消息限速：在设备出现目标IP地址不能解析的IP报文攻击时，限制全局处理的ARP Miss消息数量。

❸ 针对VLAN的ARP Miss消息限速：在某个VLAN内的所有接口出现目标IP地址不能解析的IP报文攻击时，限制处理该VLAN内报文触发的ARP Miss消息数量，配置本功能可以保证不影响其他VLAN内所有接口的IP报文转发。

❹ 针对接口的ARP Miss消息限速：在某个接口出现目标IP地址不能解析的IP报文攻击时，限制处理该接口收到的报文触发的ARP Miss消息数量，配置本功能可以保证不影响其他接口的IP报文转发。

❺ 通过设定临时ARP表项的老化时间控制ARP Miss消息的触发频率

当IP报文触发ARP Miss消息时，设备会根据ARP Miss消息生成临时ARP表项，并且向目的网段发送ARP请求报文。

●  在临时ARP表项老化时间范围内：

●  设备收到ARP应答报文前，匹配临时ARP表项的IP报文将被丢弃并且不会触发ARP Miss消息。

●  设备收到ARP应答报文后，则生成正确的ARP表项来替换临时ARP表项。

●  当老化时间超时后，设备会清除临时ARP表项。此时如果设备转发IP报文匹配不到对应的ARP表项，则会重新触发ARP Miss消息并生成临时ARP表项，如此循环重复。

●  当判断设备受到攻击时，可以增大临时ARP表项的老化时间，减小设备ARP Miss消息的触发频率，从而减小攻击对设备的影响。

 ARP表项严格学习：

如果大量用户在同一时间段内向设备发送大量ARP报文，或者攻击者伪造正常用户的ARP报文发送给设备，则会造成下面的危害：

●  设备因处理大量ARP报文而导致CPU负荷过重，同时设备学习大量的ARP报文可能导致设备ARP表项资源被无效的ARP条目耗尽，造成合法用户的ARP报文不能继续生成ARP条目，进而导致用户无法正常通信。

●  伪造的ARP报文将错误地更新设备的ARP表项，导致用户无法正常通信。

为避免上述危害，可以在网关设备上部署ARP表项严格学习功能。ARP表项严格学习是指只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP，其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP，这样，可以拒绝大部分的ARP报文攻击。

通常情况下，当UserA向Gateway发送ARP请求报文后，Gateway会向UserA回应ARP应答报文，并且添加或更新UserA对应的ARP表项。当Gateway配置ARP表项严格学习功能以后：

●  对于Gateway收到UserA发送来的ARP请求报文，Gateway不添加也不更新UserA对应的ARP表项。如果该请求报文请求的是Gateway的MAC地址，那么Gateway会向UserA回应ARP应答报文。

●  如果Gateway向UserB发送ARP请求报文，待收到与该请求对应的ARP应答报文后，Gateway会添加或更新UserB对应的ARP表项。

ARP表项限制：

ARP表项限制功能应用在网关设备上，可以限制设备的某个接口学习动态ARP表项的数目。默认状态下，接口可以学习的动态ARP表项数目规格与全局的ARP表项规格保持一致。当部署完ARP表项限制功能后，如果指定接口下的动态ARP表项达到了允许学习的最大数目，将不再允许该接口继续学习动态ARP表项，以保证当一个接口所接入的某一用户主机发起ARP攻击时不会导致整个设备的ARP表资源都被耗尽。

禁止接口学习ARP表项：

当某接口下学习了大量动态ARP表项时，出于安全考虑可以配置禁止该接口的动态ARP表项学习功能，以防止该接口下所接入的用户主机发起ARP攻击使整个设备的ARP表资源都被耗尽。

禁止接口学习ARP表项功能和ARP表项严格学习功能配合起来使用，可以使设备对接口下动态ARP的学习进行更加细致的控制。

（2）针对ARP欺骗攻击解决方案：

ARP表项固化：

如图1所示，Attacker仿冒UserA向Gateway发送伪造的ARP报文，导致Gateway的ARP表中记录了错误的UserA地址映射关系，造成UserA接收不到正常的数据报文。

为了防御这种欺骗网关攻击，可以在网关设备上部署ARP表项固化功能。网关设备在第一次学习到ARP以后，不再允许用户更新此ARP表项或只能更新此ARP表项的部分信息，或者通过发送单播ARP请求报文的方式对更新ARP条目的报文进行合法性确认。

设备提供的三种ARP表项固化模式：

●  fixed-all模式：

如果设备收到的ARP报文中的MAC地址、接口或VLAN信息和ARP表中的信息不匹配，则直接丢弃该ARP报文。此模式适用于用户MAC地址固定，并且用户接入位置相对固定的场景。

●  fixed-mac模式：

如果设备收到的ARP报文中的MAC地址与ARP表中对应条目的MAC地址不匹配，则直接丢弃该ARP报文；如果匹配，但是收到报文的接口或VLAN信息与ARP表中对应条目不匹配，则可以更新对应ARP条目中的接口和VLAN信息。此模式适用于用户MAC地址固定，但用户接入位置频繁变动的场景。

●  send-ack模式：

●  如果设备收到的ARP报文A涉及ARP表项MAC地址、接口或VLAN信息的修改，设备不会立即更新ARP表项，而是先向待更新的ARP表项现有MAC地址对应的用户发送一个单播的ARP请求报文进行确认。

●  如果在随后的3秒内设备收到ARP应答报文B，且当前ARP条目中的IP地址、MAC地址、接口和VLAN信息与ARP应答报文B的一致，则认为ARP报文A为攻击报文，不更新该ARP条目。

●  如果在随后的3秒内设备未收到ARP应答报文，或者收到ARP应答报文B与当前ARP条目中的IP地址、MAC地址、接口和VLAN信息不一致，设备会再向刚才收到的ARP报文A对应的源MAC发送一个单播ARP请求报文。

●  如果在随后的3秒内收到ARP应答报文C，且ARP报文A与ARP应答报文C的源IP地址、源MAC地址、接口和VLAN信息一致，则认为现有ARP条目已经无效且ARP报文A是可以更新该ARP条目的合法报文，并根据ARP报文A来更新该ARP条目。

●  如果在随后的3秒内未收到ARP应答报文，或者ARP报文A与收到的ARP应答报文C的源IP地址、源MAC地址、接口和VLAN信息不一致，则认为ARP报文A为攻击报文，设备会忽略收到的ARP报文A，ARP条目不会更新。

此模式适用于用户的MAC地址和接入位置均频繁变动的场景。

动态ARP检测：

网络中针对ARP的攻击层出不穷，中间人攻击是常见的ARP欺骗攻击方式之一。

如图1所示，是中间人攻击的一个场景。攻击者主动向UserA发送伪造UserB的ARP报文，导致UserA的ARP表中记录了错误的UserB地址映射关系，攻击者可以轻易获取到UserA原本要发往UserB的数据；同样，攻击者也可以轻易获取到UserB原本要发往UserA的数据。这样，UserA与UserB间的信息安全无法得到保障。

为了防御中间人攻击，可以在Switch上部署动态ARP检测DAI（Dynamic ARP Inspection）功能。

动态ARP检测是利用绑定表来防御中间人攻击的。当设备收到ARP报文时，将此ARP报文对应的源IP、源MAC、VLAN以及接口信息和绑定表的信息进行比较，如果信息匹配，说明发送该ARP报文的用户是合法用户，允许此用户的ARP报文通过，否则就认为是攻击，丢弃该ARP报文。

注：动态ARP检测功能仅适用于DHCP Snooping场景。设备使能DHCP Snooping功能后，当DHCP用户上线时，设备会自动生成DHCP Snooping绑定表；对于静态配置IP地址的用户，设备不会生成DHCP Snooping绑定表，所以需要手动添加静态绑定表。

当Switch上部署动态ARP检测功能后，如果攻击者连接到Switch并试图发送伪造的ARP报文，Switch会根据绑定表检测到这种攻击行为，对该ARP报文进行丢弃处理。如果Switch上同时使能了动态ARP检测丢弃报文告警功能，则当ARP报文因不匹配绑定表而被丢弃的数量超过了告警阈值时，Switch会发出告警通知管理员。

 ARP防网关冲突：

如图1所示，用户主机直接接入网关，Attacker将伪造网关的ARP报文发送给UserA和UserB，使UserA和UserB误以为攻击者即为网关。UserA和UserB的ARP表中会记录错误的网关地址映射关系，这样就会把发往网关的流量均发送给了攻击者，攻击者可轻易窃听到UserA和UserB发送的数据内容。

为了防范攻击者仿冒网关，可以在网关设备上使能ARP防网关冲突功能。当设备收到的ARP报文存在下列情况之一：

●  ARP报文的源IP地址与报文入接口对应的VLANIF接口的IP地址相同

●  ARP报文的源IP地址是入接口的虚拟IP地址，但ARP报文源MAC地址不是VRRP虚MAC

注：一个VRRP备份组，被当作一个共享局域网内主机的缺省网关，即虚拟交换机。一个虚拟交换机拥有一个VRRP虚MAC，VRRP虚MAC根据虚拟交换机ID生成，格式为：00-00-5E-00-01-{VRID}(VRRP)。当虚拟交换机回应ARP请求时，使用的是VRRP虚MAC地址，而不是接口的真实MAC地址。

设备就认为该ARP报文是与网关地址冲突的ARP报文，设备将生成ARP防攻击表项，并在后续一段时间内丢弃该接口收到的同VLAN以及同源MAC地址的ARP报文，这样可以防止与网关地址冲突的ARP报文在VLAN内广播。此时，还可以在设备上使能发送免费ARP报文功能，通过广播发送正确的免费ARP报文到所有用户，迅速将已经被攻击的用户记录的错误网关地址映射关系修改正确。

发送免费ARP报文：

如图1所示，Attacker仿冒网关向UserA发送了伪造的ARP报文，导致UserA的ARP表中记录了错误的网关地址映射关系，从而正常的数据不能被网关接收。

为了避免上述危害，可以在网关设备上部署发送免费ARP报文功能，定期更新用户的ARP表项，使得用户ARP表项中记录的是正确的网关MAC地址。

ARP报文内MAC地址一致性检查：

ARP报文内MAC地址一致性检查功能主要应用于网关设备上，可以防御以太网数据帧首部中的源/目的MAC地址和ARP报文中的源/目的MAC地址不同的ARP攻击。

部署本功能后，网关设备在进行ARP学习前将对ARP报文进行检查。如果以太网数据帧首部中的源/目的MAC地址和ARP报文中的源/目的MAC地址不同，则认为是攻击报文，将其丢弃；否则，继续进行ARP学习。

ARP报文合法性检查：

ARP报文合法性检查功能可以部署在接入设备或网关设备上，用来对MAC地址和IP地址不合法的报文进行过滤。设备支持以下三种可以任意组合的检查。

●  源MAC地址检查：

设备会检查ARP报文中的源MAC地址和以太网数据帧首部中的源MAC地址是否一致，一致则认为合法，否则丢弃报文；

●  目的MAC地址检查：

设备会检查ARP应答报文中的目的MAC地址是否和以太网数据帧首部中的目的MAC地址一致，一致则认为合法，否则丢弃报文；

●  IP地址检查：

设备会检查ARP报文中的源IP和目的IP地址，全0、全1、或者组播IP地址都是不合法的，需要丢弃。对于ARP应答报文，源IP和目的IP地址都进行检查；对于ARP请求报文，只检查源IP地址。

DHCP触发ARP学习：

在DHCP用户场景下，当DHCP用户数目很多时，设备进行大规模ARP表项的学习和老化会对设备性能和网络环境形成冲击。

为了避免此问题， 可以在网关设备上部署DHCP触发ARP学习功能。当DHCP服务器给用户分配了IP地址，网关设备会根据VLANIF接口上收到的DHCP ACK报文直接生成该用户的ARP表项。该功能生效的前提是使能DHCP Snooping功能。

网关设备上还可同时部署动态ARP检测功能，防止DHCP用户的ARP表项被伪造的ARP报文恶意修改。

为了方便广大网络爱好学习者一起学（聚）习（众）交（搞）流（基），特开设华为干货交流群，里面已经上传大量学习资料，欢迎广大网络工程师进群学习！

扫描下方二维码  进群学习交流